サイバーニュース.jp

世界のサイバーなニュースを配信

Gartnerが新たなカテゴリ「Exposure Assessment Platforms (EAP)」を発表:従来の脆弱性管理からの転換

カテゴリ:

新たなカテゴリEAPの登場

Gartner®は、情報セキュリティ業界における新たなカテゴリとして「Exposure Assessment Platforms(EAP)」を発表しました。これは、従来の脆弱性管理(VM)が現代の企業セキュリティにおいて十分な役割を果たせなくなっていることを公式に認めるものです。従来の脆弱性評価から、継続的脅威露出管理(CTEM)モデルへの移行は、セキュリティ業界の「デッドエンド」パラドックスを解決するための重要な転換点となります。

Gartnerの初回マジック・クアドラントレポートでは、20ベンダーがクラウド、オンプレミス、IDレイヤー全体で継続的な発見、リスクに基づく優先順位付け、統合された可視性をサポートする能力について評価されました。

なぜExposure Assessmentが注目を集めるのか

これまでのセキュリティツールはリスク軽減を約束しつつも、多くの「ノイズ」を生み出してきました。例えば、あるツールは設定ミスを検出し、別のツールは特権の逸脱を記録し、さらに別のツールは外部に公開された脆弱なアセットを警告するなど、それぞれがパズルのピースを提供するものの、全体像を把握し、攻撃経路がどのように形成されるか、あるいは何を最初に修正すべきかを説明するツールはありませんでした。

15,000以上の環境からのデータによると、特定された露出の74%が「デッドエンド」であり、主要なシステムへの実行可能なパスを持たないアセットに存在しています。従来のモデルでは、セキュリティチームはこれらの「デッドエンド」の修正に労力の90%を費やし、ビジネスプロセスへのリスク軽減効果は実質ゼロでした。EAPは、システム、ID、脆弱性が実際の環境でどのように相互作用するかを統合的に可視化し、攻撃者が低リスクの開発環境から重要資産へどのように移動できるかを示すことで、この問題に対処するよう設計されています。

このモデルは、攻撃者の行動様式を反映しているため、注目を集めています。攻撃者は単一の欠陥に限定されず、脆弱な制御、誤った特権、検出の死角を利用します。EAPモデルは、露出が環境全体でどのように蓄積され、攻撃者を到達可能な資産へと導くかを追跡します。

静的なリストから動的な露出へ

ワークフローの変化は、EAPがリスクにつながる条件をどのように検出・接続するかから始まります。EAPは従来の脆弱性ツールとは異なるアプローチを採用しており、明確な一連の機能に基づいています。

  • 環境全体での発見の統合:EAPは内部ネットワーク、クラウドワークロード、ユーザー向けシステムを継続的にスキャンし、既知および未追跡のアセット、管理されていないID、設定ミスの役割、標準インベントリに表示されないレガシーシステムを特定します。
  • コンテキストに基づく優先順位付け:露出は、資産の重要性、アクセスパス、悪用可能性、制御範囲など、複数のパラメータを使用してランク付けされます。これにより、どの問題が到達可能で、どの問題が隔離されているか、どの問題が水平移動を可能にするかをチームが把握できます。
  • 運用ワークフローへの露出データの統合:EAPの出力はアクションをサポートするように設計されています。プラットフォームはITおよびセキュリティツールと接続し、発見事項を既存のシステムを通じて割り当て、追跡し、解決できるようにします。
  • ライフサイクル追跡のサポート:露出が特定されると、EAPは修正ステップ、構成変更、ポリシー更新を通じてそれらを監視します。この可視性により、何が修正され、何が残っているか、そして各調整がリスク姿勢にどのように影響するかをチームが理解するのに役立ちます。

マジック・クアドラントが市場の成熟度について明らかにすること

新しいマジック・クアドラントは、市場における二分化を浮き彫りにしています。一方は、既存のスキャンエンジンに「露出」機能を追加しようとするレガシーベンダー。もう一方は、長年にわたり攻撃者の行動をモデリングしてきたネイティブな露出管理プレイヤーです。

カテゴリの成熟度は、「完了の定義」の変化によって示されています。成功は、もはや修正された脆弱性の数ではなく、排除された重要な攻撃経路の数によって測定されるようになりました。攻撃グラフベースのモデリングに基づいて構築されたXM Cyberのようなプラットフォームが、このアプローチをリードしています。

セキュリティチームが注目すべき点

露出評価は、定義された機能、評価基準、そして企業ワークフローにおける役割が拡大している独自のカテゴリとして確立されました。マジック・クアドラントのプラットフォームは、接続された露出を特定し、どのアセットが到達可能であるかをマッピングし、攻撃者の動きに基づいて修正をガイドします。

実務者にとっての即時価値は効率性です。これらのプラットフォームは、何を最初に修正するか、所有権をどのように割り当てるか、そしてリスク軽減が最も効果を発揮する場所について意思決定を支援します。アラートの74%を安全に無視できると数学的に証明できる場合、それは単に「セキュリティを改善する」だけでなく、すでに限界に達している可能性のあるチームに時間とリソースを取り戻すことになります。

EAPカテゴリは、最終的にセキュリティメトリクスをビジネスの現実に合わせています。問題はもはや「いくつの脆弱性があるか」ではなく、「重要な攻撃経路から安全であるか」に変わりました。

XM Cyberは、2025年のExposure Assessment PlatformsのMagic Quadrantでチャレンジャーに選ばれました。

元記事: https://thehackernews.com/2026/01/exposure-assessment-platforms-signal.html

投稿をさらに読み込む